Scientific Linux 安全性更新：SL5.x、SL6.x i386/x86_64 上的 thunderbird

critical Nessus Plugin ID 61727

語系：

概要

遠端 Scientific Linux 主機缺少一個安全性更新。

說明

Mozilla Thunderbird 是獨立式郵件與新聞群組用戶端。

處理格式有誤的內容時發現數個瑕疵。
惡意內容可導致 Thunderbird 損毀，或可能以執行 Thunderbird 之使用者的權限執行任意程式碼。(CVE-2012-1970、CVE-2012-1972、CVE-2012-1973、CVE-2012-1974、CVE-2012-1975、CVE-2012-1976、CVE-2012-3956、CVE-2012-3957、CVE-2012-3958、CVE-2012-3959、CVE-2012-3960、CVE-2012-3961、CVE-2012-3962、CVE-2012-3963、CVE-2012-3964)

包含惡意可縮放向量圖形 (SVG) 影像檔的內容可導致 Firefox 當機，或可能以執行 Thunderbird 的使用者權限執行任意程式碼。
(CVE-2012-3969、CVE-2012-3970)

在 Thunderbird 使用 WebGL 來轉譯特定影像的方式中發現兩個瑕疵。惡意內容可導致 Thunderbird 損毀，或在某些情況下，可能以執行 Thunderbird 之使用者的權限來執行任意程式碼。(CVE-2012-3967、CVE-2012-3968)

在 Thunderbird 解碼圖示格式 (ICO) 檔案之內嵌點陣圖影像的方式中，發現一個瑕疵。包含惡意 ICO 檔案的內容可導致 Thunderbird 損毀，或在某些情況下，可能利用執行 Thunderbird 之使用者的權限來執行任意程式碼。(CVE-2012-3966)

在 Thunderbird 錯誤主控台處理「eval」命令的方式中發現瑕疵。檢視含有惡意內容時，執行錯誤主控台中的「eval」可能會導致 Thunderbird 利用執行 Thunderbird 之使用者的權限來執行任意程式碼。
(CVE-2012-3980)

在 Thunderbird 使用 XSLT (可延伸樣式表語言轉換) 格式化數字功能的方式中發現超出邊界記憶體讀取瑕疵。惡意內容可能導致資訊洩漏或 Thunderbird 損毀。(CVE-2012-3972)

在 Thunderbird 位置物件實作中發現一個瑕疵。
惡意內容可利用此瑕疵允許載入限制的內容。(CVE-2012-3978)

注意：因為郵件訊息預設為停用 JavaScript，所以除了 CVE-2012-3969 和 CVE-2012-3970 問題，其餘的所有問題都不會受到特製 HTML 郵件訊息的攻擊利用。這些問題可在 Thunderbird 中透過其他方式遭到惡意利用，例如，檢視完整的遠端 RSS 摘要內容。

所有 Thunderbird 使用者皆應升級至此更新版套件，其中包含可更正這些問題的 Thunderbird 10.0.7 ESR 版。
安裝更新之後，Thunderbird 必須重新啟動，變更才會生效。